최근 전세계적으로 전자정부 구축 열기가 뜨겁게 달아오르고 있다. 전자정부란 한마디로 국가 경영에 인터넷을 접목하는 것. 웹 사이트를 통해 국가의 주요 현안을 국민들에게 설명하고 이해를 구하는 것에서부터 국가가 민간으로부터 사들이는 온라인 조달, 의료보험 등의 서비스에 이르기까지 다양한 분야에 활용되고 있다. 세계적인 정보기술(IT) 컨설팅 회사 가트너(http://www.gartner.com)는 최근 발간한 ‘2002년 전자정부 기술도입 및 활용방안’이라는 보고서를 통해 특히 미국 일리노이주가 공개열쇠에 기반을 둔(PKI) 전자정부 시스템을 구축해 기대 이상의 성과를 거두고 있다고 높이 평가했다. 보고서의 주요 내용을 간추려 소개한다. 편집자
1년 전 미국 각 주 정부들이 전자서명과 공개키기반구조(PKI) 기술의 도입 및 활용상황을 분석했던 적이 있다. 당시만 하더라도 PKI에 대한 전망은 속도를 잃은 비행기에 비유되었다. 지나치게 과장된 기술과 관료사회의 장벽들이 서로 결합되어 주와 지역 정부 속으로의 PKI 침투를 제한했기 때문이다.
그러나 정부 차원에서 PKI 기술을 도입하는 사업이 모두 지지부진한 것은 아니다. 최근 미국 일리노이주가 PKI시스템을 성공적으로 구축해 활용하는 것이 이를 입증하고 있다. 일리노이주의 사례를 중심으로 전자정부를 구축해 운영하는 데 필요한 조건과 그 성과 등을 점검하기로 한다.
◇사전준비=97년부터 98년 사이의 의회 회기중 일리노이주는 대다수의 다른 주와 마찬가지로 전자서명법을 통과시켰고 PKI 이용실태를 조사하기 시작했다. 인트러스트(Entrust)와 계약을 체결한 뒤 몇번의 실험을 거치면서 일리노이주는 다른 많은 주와 마찬가지로 자체 PKI 이용을 시작하는 데 어려움을 경험했다.
소프트웨어 및 증명서 인증 인프라 구축비용이라는 장애물을 제거한 뒤에도 일리노이주는 기업의 PKI 참여를 기다리는 기관들의 구매가 소극적이었다.
일리노이주의 전자서명법은 PKI가 최상의 솔루션일 것으로 암시하고 있었지만 특정 기술의 사용을 지정하거나 중심 인프라의 사용을 요구하지 않았다. 그동안의 상황을 볼 때 전자우편과 웹 클라이언트를 제외하고는 전용 클라이언트 소프트웨어를 설치하지 않고는 애플리케이션 통합이 어려웠으며 이 점은 특히 외부 클라이언트를 지원할 때 상당한 부담으로 작용한다.
업계의 추세는 PKI를 운용체계와 애플리케이션에 내장시키는 방향으로 가고 있다. 하지만 기존 기능의 부족은 통합을 어렵게 해 결국 도입 자체를 제한하고 있다.
◇목표설정=첫번째 목표는 주 정부가 제공하는 각종 행정서비스 처리절차를 더욱 간편하게 만드는 것이었다. 이를 돕기 위해 일리노이주는 인증·보안 및 기밀유지 정책을 구현하는 데 도움이 될 수 있는, 법적으로 인정되는 전자서명기능 및 암호화 툴을 공급하기 위해 전사적 차원의 인프라 구축을 목표로 했다. PKI는 내부와 외부의 구성요소들을 파악한 뒤 암호키를 효율적으로 관리해 기밀에 속하는 전자우편과 데스크톱 파일의 암호화를 지원하기 위해 사용된다.
◇접근방법=일리노이주는 원래 계약의 일환으로 인트러스트의 소프트웨어 100만세트를 구매했으며 계약에서는 애플리케이션 인증, 디지털 서명 및 암호화를 지원하기 위한 목적으로 인트러스트의 어떤 PKI 제품이라도 사용할 수 있도록 허용했다. 갱신을 거치면서 일리노이주는 겟액세스(GetAccess) 엑스트라넷 액세스 관리제품도 사용할 수 있는 권한을 얻게 됐다.
PKI 인증요소와 액세스 컨트롤 솔루션의 조합을 통해 조직기관들은 이질적인 분산형 전산환경에서 신분·인증 관리 및 기타 특별한 관리기능들을 통일성 있게 이용할 수 있게 됐다.
일리노이주가 지난 90년 제정해 시행하고 있는 전자서명법(http://www.legis.state.il.us/publicacts/pubact90/acts/90-0759.html)은 CMS(department of Central Management Service)에 주 정부의 인증기관을 위한 최소한의 표준을 확립할 권한을 부여했다.
ITO(Information Technology Office)는 CTO(Chief Technology Officer)의 지휘 아래 주지사에게 직접 보고하며 PKI 개발을 앞에서 이끌고 있다. PKI 리소스 확보 방법을 결정하는 데 있어 CMS는 아웃소싱을 허용하도록 법령을 개정하기 위한 비용과 시도를 예의 주시했다.
하지만 PKI시스템을 통째로 외부에서 조달(아웃소싱)할 경우 보안 인프라가 주정부의 일부가 아닌 것처럼 보이기 때문에 CMS는 PKI를 내부에서 관리하기로 결정했다. 이러한 문제를 해결하기 위해 일리노이주 정부는 컨설턴트들의 도움을 받아 3명의 CMS 팀원들이 PKI 기술과 관리에 대한 교육을 받도록 했다.
컴퓨터어소시에이츠(CA)는 IBM RS/6000s와 지멘스 LDAP 디렉터리를 인증저장소(certificate repository)로 사용해 한달 동안 CS를 시험적으로 운영해보았다. 그러나 실제로 CP(Certificate Policy)와 CPS(Certification Practices Statement)를 완성하는 데에는 자그마치 20개월이 소요되었다.
주 정부의 법률담당 직원들은 신분 확인 및 CS 운영과 관련된 프로세스에서의 의무조항에 익숙해야 했다. 또한 주 정부의 인증정책은 5개 주 정부 기관과 3개 조직에서 차출된 인력으로 구성된 정책기관에서 통제했다. 이러한 조직을 초월한 IT 통제 체계는 기업 인프라 프로젝트용 지원 구축에 필수적이다.
ITO 직원들은 소프트웨어와 CA 서비스를 아무런 비용도 받지 않고 제공함으로써 기관들의 PKI 이용을 촉진시켰다. 주 정부에 소속된 기관들이 해야 할 일은 그저 통합비용을 부담하는 정도였다. 일부 기관들은 ITO의 제안을 받아들였지만 진척 속도는 더딘 편이었다.
주 정부의 CTO와 CMS 책임자는 전사적 솔루션의 이점을 인지하고 정부 관료들과 협력해 PKI 구축을 진행했다. 2002년 2월 주 지사는 전자서명된 전자정부 행정명령을 포함한 전자우편 메시지를 모든 주 정부 공무원들에게 발송했다.
여기에서 주 지사는 주 행정관청에 주 정부의 PKI를 ‘온라인 인증, 디지털 서명 및 보안 기능이 필요한 경우 신규 애플리케이션을 개발 및 도입하거나 기존 애플리케이션을 개선할 때’ 항상 이용하도록 지시했다(http://www100.state.il.us/tech/tech_administrative.cfm).
외부 사용자를 위한 사용자 등록절차와 개인 키 보호는 주 정부 차원에서 해결하기 가장 힘든 부분 중 하나다. 응용 프로그램에 대한 위험부담이 클수록 등록절차와 개인열쇠 보호체계는 강력해져야 한다.
일단 정부에서 개인열쇠를 저장하기 위해 클라이언트 소프트웨어나 스마트카드 또는 판독기와 같은 물리적 장비를 필요로하면 지원비용이 상승하고 클라이언트들은 이러한 장비를 불편하게 생각하게 된다.
기관들은 일반적으로 외부 구성원의 지원을 원하지 않는다. 일리노이주 역시 다른 주 정부와 마찬가지로 복수의 증명확인단계를 갖춘 CP를 구축했다. 낮은 확인단계에서는 클라이언트 소프트웨어나 하드웨어 모듈에 대한 개인 키 저장을 필요로하지 않는다.
이를 통해 일리노이주는 인트러스트의 투루 패스(true pass) 로밍 인증과 신 클라이언트(thin-client) 솔루션을 초기 애플리케이션용으로 구현함으로써 고객(주민)들의 채택률을 높일 수 있었다.
일리노이주 정부는 초기 애플리케이션을 구축할 때 사용자들이 직접 사무실을 방문해서 등록하도록 하는 이른바 ‘대면(face-to-face)’ 등록방식을 채택했다. 이는 귀찮고 비용도 많이 들긴 하지만 웹 기반 등록 프로세스를 개발하지 않고 등록을 시작할 수 있다는 장점이 있었다.
대면등록은 현재 높은 확인 레벨이 필요한 응용 프로그램에 사용된다. 기본적인 로밍 인증은 온라인 등록 프로세스를 통해 확보된다. 클라이언트 가입자들은 자신의 이름, 주소, 운전면허 번호 등의 정보를 입력한다. 입력된 정보는 각종 증명서를 발급하기 전에 국무부에 저장된 운전면허 소지자 데이터베이스(DB) 정보와 비교·확인하는 과정을 거치게 된다. 현재까지 일리노이주는 3500명의 사용자를 등록했으며 몇개 기관과 응용 프로그램들이 PKI를 이용하고 있다.
현재 PKI 구축을 완료했거나 개발하는 대표적인 응용 프로그램을 살펴보면 다음과 같다.
△보건복지부(Department of Public Aid http://www.state.il.us/dpa)=의료서비스 공급자들이 클라이언트 DB에 질의하면 서비스 이용자(주로 환자) 적격성 여부를 확인할 수 있도록 인증한다.
모의시험은 웹을 통한 증명서 발급 프로세스 테스트가 완료되면 약 1000명의 사용자를 대상으로 확장될 것이다. 2단계에서는 의료보장서비스 공급자들이 온라인에서 소송을 제기할 수 있도록 해주는 기능까지 제공할 것이다. 현재까지는 대형 의료서비스 공급자들이 고객의 서비스 이용자 적격성 여부를 확인하고 전자적으로 소송을 제기하기 위해 중재인을 이용한다.
새로운 시스템은 또 더욱 많은 공급자들이 액세스할 수 있도록 해줄 것이다. 일리노이주 정부의 의료보험 청구시스템에 대한 액세스 사용자 기반은 의료기관에 속한 15만∼25만명의 사용자들이 대부분 포함될 것이다. 최근 시험가동하고 있는 보건복지부 PKI시스템 사용자로 등록한 회원 수는 약 250명이다.
△경로부(Department on Aging http://www.state.il.us/aging)=DB의 서비스 공급자를 인증하기 위한 목적으로 증명서를 이용한다. 현재 개발중인 다음 단계에서는 변상을 위한 온라인 이의신청 기능을 제공할 것이다. 등록 회원 수는 300명.
△환경보호국(Illinois Environmental Protection Agency http://www.epa.state.il.us)=환경보호국이 지명한 회사가 리포트의 온라인 제출이 가능하도록 하기 위한 응용 프로그램을 개발하고 있다. 회원 수는 3100명.
△연방예금보험공사(Office of Banks and Real Estate http://www.obre.state.il.us)=연방예금보험공사와 전자우편 및 기밀문서를 주고 받기 위해 내부적으로 PKI를 이용한다. 현재 부동산 매매 중개인 면허 발급 및 은행의 규정(예상 사용자 10만명)을 포함해 모든 기관의 애플리케이션에서 사용될 증명서 기반 인증 인프라를 구축하고 있다.
△상공 및 지역사회부(Department of Commerce and Community Affairs http://www.commerce.state.il.us)=소규모 기업을 위한 전자 인허가 요청 및 관리시스템을 개발하고 있다. 예상 사용자 수는 10만여명에 달한다.
△고용 및 국세부(Department of Employment Security and Department of Revenue http://www.revenue.state.il.us/Businesses)=소규모 기업에서 소득세 원천징수 및 실업보험 보고서를 온라인으로 제출할 수 있도록 해주는 통합 전산 프로그램을 개발하고 있다. 예상 사용자 수는 10만여명.
△일리노이주립대(Illinois State University http://www.ilstu.edu)=학생용 캠퍼스 포털을 위한 증명서 사용을 연구하고 있다. 현재 등록된 회원 수는 200명이다.
△연방증명서발급국(Federal Bridge Certification Authority http://www.cio.gov/fbca)=일리노이주 정부는 이밖에도 연방증명서발급국(FBCA)과의 교차증명서 인증사업에도 적극적으로 참여하고 있다. 이 교차증명서 인증은 일리노이주에서 발급한 증명서가 연방정부와 기타 FBCA와 교차증명된 다른 법인들에도 받아들여지도록 하는 사업이다.
◇성과=일리노이주는 현재 최고 수준의 지원을 요하는 PKI 전자정부시스템을 구축해 운영하고 있다. 앞으로 몇달 안에 상당수의 응용 프로그램들이 속속 개발되면 일리노이주의 병원 등 의료서비스 공급자들과 일반 주민들도 PKI를 이용해 각종 증명서 발급과 세금납부 등 민원업무까지 인터넷에서 ‘원스톱’으로 처리할 수 있게 된다. 전문가들은 일리노이주 정부가 처리하는 각종 행정업무의 효율과 서비스 품질까지 크게 개선될 것으로 기대하고 있다.